การใช้การตั้งค่าการอัปเดตใบรับรองการบูตแบบปลอดภัยโดยใช้การกําหนดเป้าหมายตามรุ่นใน Microsoft Intune

ในบทความนี้:

• บทนำ

• ข้อกำหนดเบื้องต้น

• ขั้นตอนที่ 1 - กําหนดค่าการตั้งค่าการปรับปรุงใบรับรองการบูตแบบปลอดภัยใน Intune (แค็ตตาล็อกการตั้งค่า)

• ขั้นตอนที่ 2 - สร้างตัวกรองงานที่มอบหมายสําหรับการกําหนดเป้าหมายตามแบบจําลอง

• ขั้นตอนที่ 3 - กําหนดนโยบายโดยใช้ตัวกรองงานที่มอบหมาย

• คำถามที่ถามบ่อย

• แหล่งข้อมูล

บทนำ

คําแนะนํานี้ช่วยให้ผู้ดูแลระบบ IT เปิดใช้งานกระบวนการอัปเดตใบรับรองการบูตแบบปลอดภัยโดยใช้นโยบายแค็ตตาล็อกการตั้งค่า Microsoft Intune โดยระบุวิธีการกําหนดค่าการตั้งค่า Secure Boot ที่เปิดใช้งานกระบวนการอัปเดตใบรับรองและวิธีการปรับใช้การกําหนดค่าดังกล่าว นอกจากนี้ยังเน้นวิธีการใช้ตัวกรองงานที่มอบหมายตามโมเดลเพื่อสนับสนุนการเปิดตัวแบบกําหนดลําดับขั้นที่ควบคุมบนฮาร์ดแวร์ที่ได้รับการตรวจสอบความถูกต้องแล้วเพื่อจัดการการอัปเดตสําเร็จ

ข้อกำหนดเบื้องต้น

สิทธิ์ในการอัปเดตใบรับรองการบูตแบบปลอดภัยจะกําหนดโดยCSP นโยบายการ บูตแบบปลอดภัยและเฟิร์มแวร์ของอุปกรณ์ ขอบเขตนี้ไม่สอดคล้องกับไทม์ไลน์ของบริการ Windows (เช่น การอัปเดต) หรือข้อกําหนดการลงทะเบียน Intune เสมอไป

Intune และข้อกําหนดเบื้องต้นของนโยบาย

• ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ในการสร้างตัวกรอง และสร้าง/กําหนดนโยบายแค็ตตาล็อกการตั้งค่า

• ต้องลงทะเบียนอุปกรณ์ใน Intune (ใช้ตัวกรองงานที่มอบหมายกับอุปกรณ์ที่มีการจัดการเท่านั้น)

ข้อกําหนดเบื้องต้นสําหรับสิทธิ์ในการบูตแบบปลอดภัย

• รายการเวอร์ชันของ Windows ที่รองรับจะพร้อมใช้งานในวิธีการ Microsoft Intune การบูตแบบปลอดภัยสําหรับอุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดยฝ่าย IT

• อุปกรณ์ต้องเปิดใช้งานการบูตแบบปลอดภัยและควรอยู่ในการอัปเดตการให้บริการปัจจุบัน

ขั้นตอนที่ 1 - กําหนดค่าการตั้งค่าการปรับปรุงใบรับรองการบูตแบบปลอดภัยใน Intune (แค็ตตาล็อกการตั้งค่า)

ในขั้นตอนนี้ คุณสร้างโพรไฟล์การกําหนดค่าอุปกรณ์แค็ตตาล็อกการตั้งค่า Windows ใน Microsoft Intune นอกจากนี้ คุณยังกําหนดการตั้งค่าการบูตแบบปลอดภัยที่เปิดใช้งานกระบวนการอัปเดตใบรับรองการบูตแบบปลอดภัยด้วย

สิ่งที่คุณจะสร้าง

โปรไฟล์การกําหนดค่าอุปกรณ์แค็ตตาล็อกการตั้งค่า Windows ที่เปิดใช้งาน Updates เปิดใช้งานใบรับรองการบูตแบบปลอดภัย:

สร้างโปรไฟล์แค็ตตาล็อกการตั้งค่า

1. ลงชื่อเข้าใช้ศูนย์การจัดการ Microsoft Intune

2. ไปที่ อุปกรณ์ > จัดการอุปกรณ์ > การกําหนดค่า

3. เลือก สร้าง > นโยบายใหม่

4. ใน สร้างโปรไฟล์:

5. แพลตฟอร์ม: Windows 10 และใหม่กว่า

6. ชนิดโปรไฟล์: แค็ตตาล็อกการตั้งค่า

7. เลือก สร้าง

8. ตั้งชื่อโพรไฟล์ (เช่น การอัปเดตใบรับรองการบูตแบบปลอดภัย) เพิ่มคําอธิบายเพิ่มเติม แล้วเลือก ถัดไป

9. ในการตั้งค่าการกําหนดค่า เลือก เพิ่มการตั้งค่า

10. ในตัวเลือกการตั้งค่า ค้นหา การบูตแบบปลอดภัย และเลือกภายใต้ เรียกดูตามประเภท

11. เพิ่มการตั้งค่า Updates เปิดใช้งานใบรับรองการบูตแบบปลอดภัย จากสามประเภทที่แสดงในประเภท การบูตแบบปลอดภัย ไปยังโพรไฟล์

    หมายเหตุ: คุณสามารถกําหนดค่าการตั้งค่าการบูตแบบปลอดภัยอื่นๆ ในประเภทนี้ได้ในลักษณะเดียวกันหากสถานการณ์การปรับใช้ของคุณจําเป็นต้องใช้

12. กําหนดค่าการตั้งค่าเป็น เปิดใช้งาน

13. เลือก ถัดไป เพื่อทํางานที่มอบหมายต่อ (คุณจะนําตัวกรองไปใช้ในขั้นตอนที่ 3)

ขั้นตอนที่ 2 - สร้างตัวกรองงานที่มอบหมายสําหรับ การกําหนดเป้าหมายตามแบบจําลอง

จากนั้น คุณจะสร้างตัวกรองงานที่มอบหมาย Intune ที่กําหนดเป้าหมายไปยังรุ่นของอุปกรณ์เฉพาะ การกําหนดเป้าหมายตามรุ่นช่วยให้คุณสามารถกําหนดขอบเขตการอัปเดตใบรับรองการบูตแบบปลอดภัยไปยังรุ่นฮาร์ดแวร์ที่เลือกได้ การปรับใช้แบบควบคุมและแบบกําหนดลําดับขั้นนี้ไม่จําเป็นต้องมีกลุ่ม Microsoft Entra ID เพิ่มเติม

เหตุใดจึงขอแนะนําให้กําหนดเป้าหมายตามรุ่นสําหรับการปรับใช้ใบรับรองการบูตแบบปลอดภัย

• ความแปรปรวนของเฟิร์มแวร์ - OEM ใช้การบูตแบบปลอดภัยแตกต่างกัน ดังนั้นการกําหนดขอบเขตระดับโมเดลจึงลดการทํางานที่ไม่คาดคิด

• การตรวจสอบความถูกต้องก่อนหน้านี้ - คุณสามารถตรวจสอบความถูกต้องของการอัปเดตใบรับรองบนชุดฮาร์ดแวร์ที่ดีที่รู้จักก่อนที่จะเผยแพร่ในวงกว้าง

สิ่งที่คุณจะสร้าง

ตัวกรองการกําหนด อุปกรณ์ที่มีการจัดการ ที่กําหนดเป้าหมาย (หรือไม่รวม) รุ่นอุปกรณ์เฉพาะ

สร้างตัวกรองงานที่มอบหมาย

1. ลงชื่อเข้าใช้ศูนย์การจัดการ Microsoft Intune

2. ไปที่ การดูแลระบบผู้เช่า > ตัวกรองงานที่มอบหมาย > สร้าง

3. เลือก อุปกรณ์ที่มีการจัดการ

4. ใน พื้นฐาน ให้ตั้งค่า:

   • ชื่อตัวกรอง (อธิบาย)

   • คําอธิบาย (ไม่บังคับ แต่แนะนํา)

   • แพลตฟอร์ม: Windows 10 และใหม่กว่า

5. เลือก ถัดไป

6. ใน กฎ ให้เลือกวิธีหนึ่งดังนี้

   • ตัวสร้างกฎ (แนะนําสําหรับผู้ดูแลระบบส่วนใหญ่)

   • ไวยากรณ์ของกฎ (การแก้ไขนิพจน์ด้วยตนเอง)

สร้างกฎที่ยึดตามแบบจําลอง (ตัวสร้างกฎ)

1. ในตัวสร้างกฎ ให้เลือกคุณสมบัติของตัวแบบ

2. เลือกตัวดําเนินการ

3. ใส่สตริงแบบจําลองที่คุณต้องการจับคู่

4. เลือก เพิ่มนิพจน์ เพื่อเพิ่มลงในกฎ

5. ถ้าจําเป็น ให้ใช้ And/Or เพื่อขยายกฎไปยังโมเดลเพิ่มเติม หรือเพิ่มเกณฑ์เพิ่มเติมโดยยึดตามคุณสมบัติที่สามารถกรองได้อื่นๆ

แสดงตัวอย่างและสร้างตัวกรอง

1. เลือก แสดงตัวอย่างอุปกรณ์ เพื่อยืนยันว่าอุปกรณ์ที่ลงทะเบียนใดตรงกัน

2. เลือก ถัดไป

3. (ไม่บังคับ) กําหนด แท็กขอบเขต ถ้าคุณใช้

4. เลือก ถัดไป

5. ใน รีวิว + สร้าง ให้เลือก สร้าง

ขั้นตอนที่ 3 - กําหนดนโยบายโดยใช้ตัวกรองงานที่มอบหมาย

สุดท้าย คุณจะกําหนดโปรไฟล์แค็ตตาล็อกการตั้งค่าให้กับอุปกรณ์หรือกลุ่มผู้ใช้ และใช้ตัวกรองงานที่มอบหมาย การดําเนินการนี้จะกําหนดว่าอุปกรณ์ที่ลงทะเบียนใดที่ได้รับและประมวลผลการตั้งค่าการอัปเดตใบรับรองการบูตแบบปลอดภัยระหว่างการประเมินนโยบาย

คุณจะทําอะไร

คุณจะกําหนดโปรไฟล์แค็ตตาล็อกการตั้งค่าการบูตแบบปลอดภัยจากขั้นตอนที่ 1 ไปยังกลุ่ม จากนั้นใช้ตัวกรองจากขั้นตอนที่ 2 ในโหมด รวม หรือ แยก ออก

ใช้ตัวกรองงานที่มอบหมาย

1. ในศูนย์การจัดการ Microsoft Intune ให้นําทางไปยัง อุปกรณ์ > จัดการอุปกรณ์ > การกําหนดค่า

2. เลือกโปรไฟล์แค็ตตาล็อกการตั้งค่าที่คุณสร้างในขั้นตอนที่ 1 ด้านบน

3. เปิด คุณสมบัติ > งานที่มอบหมาย > แก้ไข

4. กําหนดโพรไฟล์ให้กับ กลุ่มผู้ใช้ หรือ กลุ่มอุปกรณ์ที่เหมาะสม

   เคล็ดลับ: หากคุณไม่มีเกณฑ์อื่นใดที่จะจํากัดการกําหนดเป้าหมาย ให้กําหนดนโยบายนี้ให้กับกลุ่มเสมือนของอุปกรณ์ทั้งหมด ใช้ตัวกรองการกําหนดรุ่นอุปกรณ์จากขั้นตอนที่ 2 เพื่อกําหนดขอบเขตงานที่มอบหมาย ชุดค่าผสมนี้เพียงพอสําหรับการปรับใช้ส่วนใหญ่แล้ว กลุ่มเสมือน ของอุปกรณ์ทั้งหมด มีอยู่แล้วภายใน ไม่ต้องบํารุงรักษาเป็นกลุ่ม และปรับให้เหมาะกับมาตราส่วน จากนั้น ตัวกรองงานที่มอบหมายจะจํากัดความสามารถในการนําไปใช้ได้ที่การเช็คอินอุปกรณ์โดยยึดตามคุณสมบัติอุปกรณ์ โดยไม่จําเป็นต้องมีกลุ่ม Microsoft Entra เพิ่มเติม

5. เลือก แก้ไขตัวกรอง

6. เลือกหนึ่งรายการ:

   • รวมอุปกรณ์ที่กรองแล้วในงานที่มอบหมาย: เฉพาะอุปกรณ์ที่ตรงกับตัวกรองที่ได้รับนโยบายเท่านั้น

   • ไม่รวมอุปกรณ์ที่กรองในงานที่มอบหมาย: อุปกรณ์ที่ตรงกับตัวกรองจะไม่ได้รับนโยบาย

7. เลือกตัวกรองงานที่มอบหมายที่มีอยู่ของคุณจากขั้นตอนที่ 2 แล้วเลือก เลือก

8. เลือก รีวิว + บันทึก > บันทึก

ทําความเข้าใจลักษณะการทํางานของอุปกรณ์

• Intune จะประเมินตัวกรองเมื่ออุปกรณ์ลงทะเบียน ทุกครั้งที่อุปกรณ์เช็คอิน และเมื่อใดก็ตามที่นโยบายที่กําหนดถูกประเมินใหม่

• การเปิดใช้งานการตั้งค่าการบูตแบบปลอดภัยไม่รับประกันว่าแอปพลิเคชันใบรับรองจะมีผลบังคับในทันที สําหรับการตั้งค่าการบูตแบบปลอดภัยที่ทริกเกอร์กระบวนการอัปเดต งานการบูตแบบปลอดภัยของ Windows จะทํางานทุก 12 ชั่วโมง การอัปเดตบางอย่างอาจจําเป็นต้องเริ่มระบบใหม่

คำถามที่ถามบ่อย

แหล่งข้อมูล

• ข้อกําหนดการตั้งค่าและค่าที่อนุญาต: SecureBoot Policy CSP

• การตั้งค่าลําดับแค็ตตาล็อกและลักษณะการทํางานของการตั้งค่า: Microsoft Intune วิธีการบูตแบบปลอดภัยสําหรับอุปกรณ์ Windows ด้วยการอัปเดตที่ IT จัดการ

• พื้นหลังและไทม์ไลน์: ใบรับรองการบูตแบบปลอดภัยของ Windows จะหมดอายุและการอัปเดต CA

• สร้าง แสดงตัวอย่าง และใช้ตัวกรอง: สร้างตัวกรองงานที่มอบหมายใน Microsoft Intune

• คุณสมบัติ ตัวดําเนินการ และไวยากรณ์ที่สนับสนุน: คุณสมบัติตัวกรองงานที่มอบหมายและการอ้างอิงตัวดําเนินการ

• การวางแผนการเปิดตัวโดยรวมและ Intune เรียกว่าเป็นตัวเลือกที่แนะนํา: หนังสือเล่นการบูตแบบปลอดภัยสําหรับใบรับรองที่หมดอายุในปี 2026

• วิธีการตรวจสอบเท่านั้นและการรายงาน Intune): การตรวจสอบสถานะใบรับรองการบูตแบบปลอดภัยด้วยการแก้ไข Microsoft Intune